Het integreren van uw on-premises Active Directory Domain Services (AD) (en synchronisatie) met Azure AD wordt uitgevoerd via de Synchronization Service Manager GUI of via PowerShell.
Er zijn twee manieren om Azure AD on-premises te gebruiken: doorvoerauthenticatie (stuurt het authenticatieverzoek rechtstreeks naar Azure AD) of directorysynchronisatie die wachtwoordhashes synchroniseert tussen on-premises AD en Azure AD. In deze blogpost gaan we uitleggen hoe je de Azure Active Directory Connect-software instelt om wachtwoordhashes te synchroniseren.
We zullen bespreken hoe je een terugkerende synchronisatie kunt laten draaien en ook hoe je Azure AD Connect kunt gebruiken om een wachtwoordhash-synchronisatie af te dwingen.
Kort gezegd, om Azure AD met PowerShell te dwingen te synchroniseren, zijn de volgende stappen nodig:
- Installeer Azure Active Directory Connect
- Importeer de ADSync PowerShell-module
- Voer de cmdlet
Start-AdSyncScheduleuit, die wachtwoordhashes van een domeincontroller leest en synchroniseert met Azure AD.
Als je meer wilt leren via video, bekijk dan zeker deze informatieve TechSnips-video.
Installeer Azure AD Connect
Om de on-prem Active Directory te synchroniseren met een Azure AD-tenant, moet je eerst de Azure AD Connect-software downloaden en installeren. Daartoe heb je twee opties. Je kunt het downloaden vanaf het Azure-portal of rechtstreeks naar het softwarepakket gaan.
Downloaden vanaf het Azure-portal
Als je ervoor hebt gekozen om het pakket niet van de Microsoft-site te downloaden, moet je het pakket uit het Azure-portal halen.
Zoek naar “Azure Active Directory” in het portaal. In het gedeelte Azure Active Directory, klik op Azure AD Connect. Hier vind je een gedeelte Synchronisatiestatus met een link naar Azure AD Connect downloaden.
Synchronisatiegereedschappen
Wanneer je Azure AD Connect installeert, worden twee primaire gereedschappen geïnstalleerd die je kunt gebruiken om een synchronisatie te plannen of te forceren.
- De ADSync PowerShell-module
- De Synchronisatieservicemanager
Met behulp van deze twee gereedschappen kun je een terugkerende (geplande) synchronisatie instellen om routinematig een Azure AD-synchronisatie uit te voeren. Of je kunt een van beide gebruiken om ad-hoc een synchronisatie te forceren. Beide gereedschappen voeren dezelfde handeling uit. Het enige verschil is dat de ene via de command-line (PowerShell) verloopt en de andere een GUI-toepassing is.
Instellen van de ADSync PowerShell-module
Wanneer je Azure AD Connect installeert, wordt een PowerShell-module genaamd ADSync geïnstalleerd. Deze module bevat opdrachten waarmee je het synchronisatieproces kunt beheren met PowerShell.
Let op dat ik in dit artikel Windows PowerShell 5.1 gebruik. Uw resultaten kunnen variëren als u een oudere versie gebruikt.
Zoals bij alle PowerShell-modules is het importeren van de module eenvoudig. De module bevindt zich echter niet in een bekende map voor Windows PowerShell-modules. De installatie plaatst de PowerShell-module in de map C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Om de module te importeren, opent u een PowerShell-console en voert u het volgende in:
Om te controleren of de module is geïmporteerd, gebruikt u Get-Module. U zou de module ADSync moeten zien vermeld.
Standaard Azure AD Sync-schema
Standaard maakt Azure AD Connect een geplande taak aan die elke 30 minuten een delta (synchronisatie van alleen verschillende objecten) uitvoert. U kunt het schema vinden door Taakplanner te openen. U zou een geplande taak moeten zien onder Microsoft –> Windows met de naam Azure AD Sync Scheduler.
U kunt dit schema wijzigen, maar houd er rekening mee dat 30 minuten de laagste ondersteunde interval is. Het doel is om het synchronisatie-interval zo in te stellen dat het vaak genoeg gebeurt om wijzigingen op te pikken. Als de synchronisatie te kort is, loopt u het risico uw netwerk te verzadigen.
De planner behandelt twee taken:
- Synchronisatiecyclus – Het proces om wijzigingen te importeren, synchroniseren en exporteren.
– Vernieuwt sleutels en certificaten voor wachtwoordreset en de <DiDevice Registration Service (DRS). Het verwijdert ook oude vermeldingen in het <Dioperatielog.
De planner zelf draait altijd, maar kan geconfigureerd worden om slechts één of geen van deze taken uit te voeren.
Het afdwingen van een Azure AD Connect-synchronisatie
Er kunnen momenten zijn waarop u de synchronisatie van uw objecten moet afdwingen. Bijvoorbeeld, als u uw eigen synchronisatiecyclusproces wilt hebben, kunt u deze taak uitschakelen in de planner maar nog steeds de onderhoudstaak uitvoeren.
Om Azure Active Directory Connect te gebruiken om een wachtwoordsynchronisatie en andere informatie af te dwingen, kunt u ofwel de Synchronization Service Manager of PowerShell gebruiken.
Het afdwingen van een synchronisatie met de Synchronization Service Manager
Op een server met Azure AD Connect geïnstalleerd, navigeert u naar het Startmenu en selecteert u AD Connect, en vervolgens Synchronisatieservice.
Op het eerste gezicht lijkt het overweldigend, maar u bent alleen geïnteresseerd in het Connectors tabblad en het rechter selectiepaneel. Als u naar het rechterpaneel kijkt, ziet u opties om de synchronisatie te stoppen (Stoppen) en te starten (Uitvoeren).
Merk op dat wanneer een synchronisatiecyclus wordt uitgevoerd, u geen configuratiewijzigingen kunt aanbrengen. Het stoppen van de huidige cyclus is niet schadelijk en hangende wijzigingen worden verwerkt bij de volgende uitvoering.
Sync-status ophalen met PowerShell
Voordat u een synchronisatie forceert, is het een goed idee om de status van de huidige synchronisatiecyclus op te vragen. Als u synchronisatie forceert tijdens een lopende synchronisatie, kunt u uzelf blootstellen aan mogelijke problemen later.
Om de huidige instellingen te bekijken, opent u een PowerShell-console op de server waar Azure Active Directory Connect is geïnstalleerd en voert u Get-ADSyncScheduler uit. U ziet enkele eigenschappen die nuttige informatie verschaffen.
Get-AdSyncSchedulerEr is behoorlijk wat informatie om door te nemen. Laten we stap voor stap doorgaan:
AllowedSyncCycleInterval– Dit is de kortste tijd tussen synchronisaties. Standaard is dit ingesteld op 30 minuten, de kortst toegestane tijd.CurrentlyEffectiveSyncCycleInterval– De huidige planning die van kracht is. Het heeft dezelfde waarde alsCustomizedSyncInterval(indien ingesteld) als het niet vaker is danAllowedSyncInterval. Als u een build gebruikt vóór 1.1.281 en u wijzigtCustomizedSyncCycleInterval, heeft deze wijziging effect na de volgende synchronisatiecyclus. Vanaf build 1.1.281 heeft de wijziging onmiddellijk effect.CustomizedSyncCycleInterval– Dit is ingesteld als u de planner op een frequentie wilt laten draaien die afwijkt van de standaard 30 minuten.NextSyncCyclePolicyType– Deze parameter bepaalt wat de volgende uitvoering moet verwerken. Als de volgende uitvoering een volledige synchronisatie is, wordt dit aanvankelijk weergegeven.NextSyncCycleStartTimeInUTC– Dit is het tijdstip waarop de planner de volgende synchronisatiecyclus start.PurgeRunHistoryInterval– Stel in hoelang de bedrijfslogboeken worden bewaard. Standaard worden de logboeken 7 dagen bewaard.SyncCycleEnabled– Geeft aan of de planner de import-, synchronisatie- en exportprocessen uitvoert als onderdeel van zijn werking.MaintenanceEnabled– Onderhoud inschakelen bijwerkt de certificaten/sleutels en verwijdert de bedrijfslogboeken.StagingModeEnabled– Indien ingeschakeld, onderdrukt het de exports van uitvoering. synchronisatie.SchedulerSuspended– Instellen om de planner tijdelijk te blokkeren van uitvoering.
Forceren van een synchronisatie met PowerShell
Vind gelekte & onveilige wachtwoorden in uw Active Directory door te controleren tegen de NCSC-wachtwoordlijst.
U heeft een paar opties bij het forceren van een synchronisatie. U kunt een volledige synchronisatie of een delta-synchronisatie afdwingen. Een volledige synchronisatie controleert alle objecten in AD. Een delta-synchronisatie controleert en synchroniseert alleen wijzigingen sinds de laatste uitvoering.
Om een volledige synchronisatie te starten, kunt u het Start-AdSyncSyncCycle cmdlet gebruiken. Gebruik de PolicyType parameter om te kiezen tussen Full of Delta afhankelijk van de synchronisatie die u wilt starten. Beide methoden zullen een AD-synchronisatie afdwingen voor Office 365, gebruikersidentiteitsaccounts en alle andere attributen.
Stoppen van een Synchronisatie
Als u een synchronisatie in proces wilt stoppen, kunt u ook het Stop-ADSyncSyncCycle cmdlet gebruiken.
Samenvatting
Of u nu kiest voor het gebruik van de GUI of PowerShell, u zou nu verschillende manieren moeten kennen om de Azure Active Directory Connect-tool te gebruiken om een synchronisatie met uw on-premises Active Directory-omgeving met Azure AD te plannen of af te dwingen.